Трейл
Трейл — это ресурс Audit Trails, который отвечает за сбор и доставку аудитных логов ресурсов Yandex Cloud в бакет Object Storage, лог-группу Cloud Logging или поток данных Data Streams.
Область сбора аудитных логов
В настройках трейла можно выбрать область сбора аудитных логов:
- организация — аудитные логи ресурсов сервисов в выбранных облаках организации, в которой находится трейл;
- облако — аудитные логи ресурсов сервисов, которые находятся в выбранных каталогах облака, в котором находится трейл;
- каталог — аудитные логи каталога, в котором находится трейл.
Трейл будет собирать и загружать в бакет, лог-группу или поток данных аудитные логи всех ресурсов, которые находятся в заданной области сбора аудитных логов, в том числе ресурсов, которые будут добавлены в область после создания трейла.
Для тех ресурсов, которые были добавлены в область сбора аудитных логов уже после создания трейла, сбор аудитных логов запустится трейлом автоматически.
Объект назначения
Каждый трейл загружает аудитные логи только в один объект назначения: бакет, лог-группу или поток данных.
Примечание
При изменении объекта назначения в существующем трейле может произойти потеря событий. Создайте новый трейл, если вам нужно безопасно изменить объект назначения.
При загрузке аудитных логов в бакет Audit Trails формирует файлы аудитных логов приблизительно раз в 5 минут. Трейл запишет все события, которые произошли за это время с ресурсами облака, в один или несколько файлов. Если никакие события за этот период не произойдут, файлы не сформируются.
В лог-группу Audit Trails загружает аудитные логи в режиме, близком к реальному времени.
От типа объекта назначения зависит структура и содержимое сообщения, в котором Audit Trails передает аудитные логи:
- для бакета — в файле находится массив JSON-объектов аудитного лога;
- для лог-группы — в сообщении находится только один JSON-объект аудитного лога.
- для потока данных — в поток передаются сообщения, содержащие JSON-объекты аудитного лога.
Каждый трейл действует независимо от других трейлов. Используя несколько трейлов, можно разграничивать доступ к разным группам логов для пользователей и сервисов в соответствии с требованиями политики ИБ.
Настройки трейла
Трейл содержит в себе все настройки аудитного лога:
- Имя — обязательный параметр.
- Описание — опциональный параметр.
- Блок Назначение:
- Назначение — значения
Object Storage,Cloud LoggingилиData Streams. - Для значения
Object Storage:- Бакет — имя бакета.
- Префикс объекта — необязательный параметр, участвует в полном имени файла аудитного лога.
- Для значения
Cloud Logging:- Лог-группа — имя лог-группы.
- Для значения
Data Streams:- Поток данных — имя потока данных.
- Назначение — значения
- Блок Сервисный аккаунт — сервисный аккаунт, от имени которого будет выполняться загрузка аудитных логов в бакет, лог-группу или поток данных. Если аккаунту нужны дополнительные роли, появится предупреждение с перечнем ролей.
- Блок Сбор событий c уровня конфигурации:
- Статус — включение и выключение сбора аудитных логов уровня конфигурации.
- Ресурс — значения
Организация,ОблакоилиКаталог. - Для значения
Организация:- Организация – имя текущей организации. Значение подставляется автоматически.
- Для значения
Облако:- Облако — имя облака, в котором находится текущий трейл. Значение подставляется автоматически.
- Каталог — каталоги, для ресурсов в которых трейл будет собирать аудитные логи уровня конфигурации. Если не указать ни один каталог, то трейл будет собирать аудитные логи всех ресурсов в облаке.
- Для параметра
Каталог:- Каталог — имя каталога, в котором находится трейл. Значение подставляется автоматически.
- Блок Сбор событий с уровня сервисов:
- Статус — включение и выключение сбора аудитных логов уровня сервисов.
- Список сервисов, для каждого из которых отдельно настраивается:
Что дальше
- Узнайте о формате аудитных логов.
- Ознакомьтесь с логами диагностики трейла.
- Узнайте о событиях.